ASCII Art Spam

February 24, 2005

Hätte nicht gedacht, dass ich mal interessanten Spam bekommen würde. Also nicht inhaltlich (schließlich ist mit mir alles in Ordnung, denk ich), sondern eher wie einfallsreich er gemacht ist.

Aber seht selbst: ASCII Art Spam

Nanu, wieso ist das denn da so gepunktet? Mit einer gewitzten Tastenkombination zoomen wir heran, etwa so, wie die "Experten" im Fernsehen immer auf einer eingestaubten Überwachungskamera-Aufnahme von 1875 die Waschanleitung für das Unterhemd des Bankräubers lesen können:

ASCII Art Spam zoomed

Da hat der Spammer seinen Text durch einen ASCII-Art-Generator wie diesen hier laufen lassen und so zumindest meinen Spamfilter so weit getäuscht, dass dieser die Mail als "keine Ahnung" statt als "sicher Spam" eingestuft hat.

"Next Generation" Spamming

Was bedeuten solche Tricks für unsere Spamfilter? Da das Einbinden von Bildern in E-Mails inzwischen bei den meisten Mailprogrammen genau gar nichts mehr bringt, da sie in der Regel nicht angezeigt werden, steigen findige Spammer auf Tricks wie diese um, die in der Regel mit winzigen Schriften zusammen hängen. Sei es, um wie hier daraus ein "Bild" zu machen, sei es, um Spamfilter mit winzigen Buchstaben zu täuschen, die zwischen die einschlägigen "Buzzwords" geklemmt werden.

Freund Spamassassin könnte darauf etwa reagieren, indem er HTML-Mail per se schlechter bewertet als Nur-Text. Wenn ich aber die vielen Menschen sehe, die sehr gerne solche Mails versenden, wird sich diese Politik kaum halten lassen, ohne massenhaft "false positives" zu erzeugen.

"Zu viel sinnlose Zeichen" filtern, also quasi eine Rechtschreibprüfung für Spam, hätte dasselbe Problem: Die Mails von Leetspeak-Kiddies würden reihenweise in die Tonne wandern. Das wäre ja zugegeben nicht schlimm, aber wohl auch nicht erwünscht.

Spamfilter mit HTML Rendering?

Bleibt uns fast nur, Mails so zu prüfen, wie sie der Endbenutzer sehen wird. Mit anderen Worten: Wir müssen sie durch einen HTML-Renderer schicken (etwa die Mozilla Gecko Engine) und die Ansicht, die der eigentliche Benutzer tatsächlich zu Gesicht bekommt, auf Spammerkmale testen. Denn wie ausgeklügelt die Umgehungsmechanismen auch werden, die sich die Spammer einfallen lassen - es ist immer das Auge des Betrachters, das sie erreichen wollen.

Explodierender Aufwand?

Solche Tests allerdings haben einen enormen rechnerischen Aufwand. Sie haben Turing-Test-Charakter, sprich: Bei vielen Spammer-Tricks kann nur ein Mensch, bisher aber keine Maschine entscheiden, dass es sich um einen bestimmten Trick handelt, und folglich Spam ist. Gerade diese Tatsache, die anderswo zur Verhinderung von Spam verwendet wird, kommt hier den Übeltätern selbst zu Gute.

Einfaches OCR über das gerenderte Mail-Bild würde hier auch nur begrenzt helfen, vor allem aber an dem explodierenden Rechenaufwand scheitern. Die Tests wären von einem zentralen Spamfilter schlicht nicht durchführbar, denn schon jetzt sind Spamfilter unter den empfindlichsten Punkten eines Mailsystems, die durch pure Masse in die Knie gezwungen werden können. Ein Steilpass für Denial of Service-Angriffe. Man könnte zwar Distributed Computing-Lösungen einsetzen, das würde mir aber jedenfalls nicht gefallen, wenn meine Mails zum Spamtest in der Weltgeschichte umher geschickt würden.

Also?

Um das "Auge des Betrachters" zu simulieren, müssen wir wohl noch auf Quantencomputer warten, oder so ähnlich...

Für heute gilt: HTML-Mails sind böse. Wir wollen sie nicht verwenden.

Und weil das ja doch keiner tut, sollten Spamfilter wenigstens winzig kleine Schriften schärfer abwerten als bisher. Dafür braucht der Spamfilter zwar zumindest einen einfachen CSS-Interpreter, aber die Mühe ist es wert.

Bis zum nächsten Spammer-Trick, jedenfalls.

Was this helpful? Buy me a coffee with Bitcoin! (What is this?)

Updating Adobe Flash Without Restarting Firefox

No reason for a Flash upgrade to shut down your entire browser, even if it claims so.It's 2015, and the love-hate relationship of the Web...… Continue reading

Reddit's Fail-Alien (or "Fail-ien?")

Published on January 15, 2015